Healthtech bauen im Jahr 2026: HIPAA, FHIR und die Ransomware-Rechnung, die Sie nicht überspringen können

Eine Zahl legt fest, was auf dem Spiel steht, bevor Sie eine einzige Zeile Code schreiben: Eine durchschnittliche Datenpanne im Gesundheitswesen kostet inzwischen rund 10,22 Millionen US-Dollar, und das Gesundheitswesen hält den Titel für die teuersten Datenpannen aller Branchen seit vierzehn Jahren in Folge. Das ist kein Randrisiko, das Sie nach dem Launch flicken. Für jeden, der Software baut, die Patientendaten berührt, ist es das, worum herum am Ende das gesamte Produkt gebaut wird.

Ein Terminplanungs-Tool und ein Tool zur Patiententerminplanung sehen in einer Demo fast identisch aus. Derselbe Kalender, derselbe Buchungsablauf, dieselbe Bestätigungs-E-Mail. Der Unterschied steckt komplett darunter: wer einen Datensatz sehen kann, wo er gespeichert ist, wem gegenüber Sie sich rechtlich verpflichtet haben, ihn zu schützen, und was an dem Tag passiert, an dem jemand versucht, ihn zu stehlen. Nichts davon taucht in einem Screenshot auf, und alles davon entscheidet, ob das Produkt auslieferbar ist.

Drei Dinge prägen gerade, was "gut" im Healthtech-Bereich bedeutet. Die Security Rule von HIPAA wird zum ersten Mal seit über zwanzig Jahren neu geschrieben. Bundesweite Interoperabilitätsfristen zwingen Gesundheitsdaten auf einen gemeinsamen API-Standard. Und Ransomware ist schlimm genug geworden, dass die Aufsichtsbehörden eine Datenpanne nicht mehr als Pech behandeln, sondern als Beweismittel. Wenn Sie ein Projekt aufsetzen, behandeln Sie alle drei als Design-Vorgaben, nicht als rechtliche Fußnoten, um die Sie sich später kümmern. Die frühe Variante ist weitaus günstiger als die Nachrüstung.

Ransomware ist nicht länger das Problem der anderen

Das Ausmaß lässt sich schwer wegwischen. Seit 2009 hat die USA mehr als 7.400 Datenpannen im Gesundheitswesen verzeichnet, die über 935 Millionen Datensätze betreffen — mehrfach mehr als die Bevölkerung des Landes. Ransomware treibt einen wachsenden Anteil davon: Sie steckt hinter rund 28 Prozent der großen Datenpannen im Gesundheitswesen, und dieser Anteil wächst weiter. Für ein kleines Unternehmen, das Patientendaten hält, ist ein erfolgreicher Angriff kein IT-Vorfall. Es ist möglicherweise das Ende des Unternehmens.

Gründer neigen dazu zu unterschätzen, was als Nächstes kommt. Wenn das Office for Civil Rights nach einer Datenpanne eine Untersuchung einleitet, ist das Erste, wonach es fragt, in der Regel keine forensische Chronologie des Angriffs. Es ist Ihre Risikoanalyse — das Dokument, das zeigt, dass Sie ermittelt hatten, wo Patientendaten lagen und was mit ihnen schiefgehen konnte. Eine fehlende oder veraltete Risikoanalyse ist der Verstoß, auf dem die meisten Vergleiche tatsächlich beruhen. Das OCR löst pro Jahr irgendwo zwischen fünfzehn und gut zwanzig solcher Fälle, häufig verknüpft mit einem Ransomware-Vorfall, einer fehlenden Risikoanalyse oder einer Akteneinsichtsanfrage, auf der jemand sitzen geblieben ist. Der durchschnittliche Vergleich lag 2025 bei etwa 1,2 Millionen US-Dollar.

Eine Datenpanne stellt Ihnen also in Schichten Rechnung: die Wiederherstellung selbst, den behördlichen Vergleich obendrauf und das Kundenvertrauen, das um keinen Preis zurückkehrt. Und "wir hatten Pech, wir wurden gehackt" ist kaum noch eine Verteidigung. Was ein Ermittler wissen will, ist, ob Sie die grundlegende Arbeit geleistet hatten, um es kommen zu sehen.

HIPAA wird neu geschrieben, und "optional" ist auf dem Weg nach draußen

Während des größten Teils ihres Bestehens teilte die HIPAA Security Rule ihre Schutzmaßnahmen in zwei Kategorien auf: "erforderlich" und "adressierbar". In der Praxis lasen viele Teams "adressierbar" als "optional" und übersprangen Dinge wie Verschlüsselung mit einer einzeiligen Begründung. Die Überarbeitung, die sich durch das HHS arbeitet — die erste größere Generalüberholung der Regel seit mehr als zwei Jahrzehnten —, schließt dieses Schlupfloch. Der Vorschlag drängt Schutzmaßnahmen, die früher verhandelbar waren, darunter Verschlüsselung von ruhenden und übertragenen Daten, Multi-Faktor-Authentifizierung und ein tatsächliches Inventar der Systeme, die Patientendaten enthalten, in Richtung schlicht verpflichtend.

Wenn Sie jetzt bauen, ist der Schritt offensichtlich: Bauen Sie so, als wären diese bereits erforderlich, denn die Regeln bewegen sich nur in eine Richtung. Keine davon ist exotisch. Sie lassen sich leicht einplanen, solange das System jung ist, und sind schmerzhaft in ein laufendes nachzurüsten, durch das bereits Patientendaten fließen.

Es hilft, konkret zu werden, worauf sich "HIPAA-konform" überhaupt bezieht, denn der Begriff wird herumgeworfen wie ein Abzeichen, das man kauft. Es gibt kein Zertifikat. Was es gibt: eine Reihe administrativer, physischer und technischer Schutzmaßnahmen, deren Umsetzung Sie nachweisen können, eine Risikoanalyse, die Sie aktuell halten, und ein unterzeichnetes Business Associate Agreement mit jedem externen Dienst, der die Daten für Sie verarbeitet. Letzteres bringt mehr junge Teams zu Fall als alles andere — das Analyse-Tool, der E-Mail-Anbieter, der Error-Tracker, jedes einzelne ist ein Dienstleister, der Patientendaten berührt, und jedes braucht ein BAA, sonst gehört es nicht in den Stack.

Ihre Daten müssen FHIR sprechen

Die zweite Kraft, die Healthtech umformt, ist Interoperabilität, und sie bewegt sich nach einem Kalender. Die Interoperability and Prior Authorization Rule des CMS verlangt von betroffenen Kostenträgern — Medicare Advantage, Medicaid, CHIP und den daran angeschlossenen Plänen —, FHIR-basierte APIs bereitzustellen, wobei die ersten Bestimmungen im Januar 2026 in Kraft treten und die zentralen API-Anforderungen bis Januar 2027 fällig sind. Im April 2026 schlug das CMS vor, denselben Ansatz auf die vorherige Genehmigung von Medikamenten auszuweiten. Die Fristen treffen weiter ein, und der Standard unter ihnen allen ist FHIR.

Sie sind vielleicht kein Kostenträger, also bindet Sie der Buchstabe der Regel möglicherweise nicht. Die Schwerkraft tut es trotzdem. Sobald die großen Systeme, mit denen sich Ihr Produkt verbinden muss, alle FHIR bereitstellen und konsumieren, wird ein proprietäres Datenmodell zu einem Übersetzungsproblem, das Sie sich selbst für immer aufgeladen haben. Die Teams, die ihr Schema von Anfang an um FHIR-Ressourcen herum entworfen haben, integrieren in Tagen. Die Teams, die das nicht taten, entdecken es meist in der Woche, in der ein Krankenhauspartner fragt, wie sie Daten austauschen.

Das ist der günstigste Ort, um früh diszipliniert zu sein. Einen Patienten, einen Termin oder eine Beobachtung so zu modellieren, wie FHIR es bereits definiert, kostet Sie am Anfang fast nichts und erspart Ihnen später eine Migration. Eine eigene Version zu erfinden fühlt sich am ersten Tag schneller an und stellt Ihnen am fünfhundertsten Tag die Rechnung dafür.

Was das für die Art, wie Sie bauen, bedeutet

Der rote Faden, der das alles zusammenhält: Im Healthtech-Bereich lebt Compliance in der Architektur, und die Reihenfolge, in der Sie diese Entscheidungen treffen, bestimmt, ob sie günstig oder ruinös sind. Ein paar Dinge sollten Sie richtig machen, bevor der erste echte Patientendatensatz existiert:

• Bauen Sie Ihre konforme Infrastruktur nicht selbst. Die großen Clouds bieten HIPAA-fähige Dienste und unterzeichnen ein BAA. Sichere Infrastruktur von Grund auf zu bauen ist eine Möglichkeit, ein Jahr damit zu verbringen, etwas neu zu erfinden, das Sie mieten können.
• Planen Sie Zugriffskontrolle und Audit-Logging von Anfang an ein. Wer welchen Datensatz lesen kann und eine Spur davon, wer es tatsächlich getan hat, ist früh trivial hinzuzufügen und spät eine Neuentwicklung.
• Prüfen Sie jeden Dienstleister auf ein BAA, bevor Sie ihn integrieren. Wenn ein Dienst keines unterzeichnet, darf er keine Patientendaten berühren, so praktisch er auch ist.
• Behandeln Sie die Risikoanalyse als lebendiges Dokument. Es ist das Erste, wonach eine Aufsichtsbehörde fragt, also sollte es nichts sein, das Sie in der Woche entwerfen, bevor eine Datenpanne die Frage erzwingt.

Vernetzte Geräte bringen ihre eigene Angriffsfläche mit. Der Markt für internetfähige medizinische Hardware war 2023 bereits rund 47 Milliarden US-Dollar wert, und jeder Sensor, jedes Wearable und jeder Monitor, der Daten in Ihr Produkt streamt, vergrößert die Fläche, die jemand angreifen kann. Wenn Hardware Teil des Plans ist, muss sich das Sicherheitsmodell bis ganz an den Rand erstrecken und nicht am Server enden.

Ich werde nicht so tun, als wäre irgendetwas davon kostenlos. Es richtig zu machen fügt einem Projekt Zeit und Kosten hinzu, und ein Gründer, der ein Idee validieren will, spürt jede einzelne Woche davon. Aber die Kosten sind größtenteils kalkulierbar, und kalkulierbare Kosten lassen sich einplanen. Sie können HIPAA-fähige Infrastruktur, ein FHIR-förmiges Datenmodell und ein Security-Review budgetieren. Was Sie nicht budgetieren können, ist der andere Weg: eine Datenpanne, die im Durchschnitt weit in den siebenstelligen Bereich geht, eine OCR-Akte, die obendrauf landet, und die Kunden, die still gehen, weil ein Gesundheitsprodukt, das ihre Daten geleakt hat, schwer zu verzeihen ist. Zwischen bekannten Kosten und unbekannten sind die bekannten Kosten das Schnäppchen.